Internet & Recht - aktuell Home

Vorratsdatenspeicherung ante portas

Der EuGH hat entschieden, nun ist der österreichische Gesetzgeber am Zug

aktuell - Übersicht

Die heutige Schlagzeile "EuGH bestätigt Vorratsdatenspeicherung" wäre ein Grund die Trauerfahne zu hissen. Allerdings gibt sie den Sachverhalt verkürzt und verfälscht wieder. Der EuGH hat heute nicht inhaltlich über die Richtlinie entschieden, sondern nur bestätigt, dass die Richtlinie vom richtigen Gesetzgebungsorgan der EU erlassen wurde, nämlich von der ersten Säule, die für das Funktionieren des Binnenmarktes zuständig ist (Art 95 EG). Die Republik Irland hatte gemeint, dass die Regelung in den Kompetenzbereich der dritten Säule gefallen wäre, die für die Zusammenarbeit von Polizei und Justiz in Strafsachen zuständig ist, weil die Richtlinie tatsächlich auf die Bekämpfung schwerer Verbrechen gerichtet sei; die Vereinheitlichung des Binnenmarktes sei nur ein Nebenziel gewesen. Das war die Frage, die zur Entscheidung stand (C 301/06) Über das Ergebnis kann man geteilter Meinung sein, weil deklarierter und über die Medien immer wieder transportierter Zweck der Richtlinie tatsächlich die Terrorbekämpfung war und nicht die Beseitigung von Wettbewerbshindernissen (infolge ungleicher Speicherfristen innerhalb der EU). Dieses Ziel kann die Richtlinie gar nicht erreichen, weil sie nur Mindestspeicherfristen vorgibt und nicht eine einheitliche Dauer. Tatsächlich gibt es nach Umsetzung der RL durch alle EU-Staaten voraussichtlich Speicherdauern von 6 Monaten bis 3 Jahren, also weiterhin enorme Unterschiede. Hinzu kommt, dass es auf dem Markt der Zugangsanbieter gar keinen freien Wettbewerb innerhalb der EU gibt, weil innerhalb eines Landes alle Zugangsanbieter dieselben Bedingungen haben (jedenfalls die Speicherpflichten betreffend).

Der EuGH ist trotzdem der Meinung, dass die Richtlinie überwiegend das Funktionieren des Binnenmarktes betreffe. Offenbar schließt er das auch daraus, dass es bei der Richtlinie nur um die Speicherpflichten geht, aber nicht darum, was mit den Daten dann weiter passiert; das ist nämlich nach Art 4 der RL den Mitgliedstaaten vorbehalten. Die Richtlinie verweist dazu nur allgemein auf die EMRK und die Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte (EGMR) zur Verhältnismäßigkeit; ein Verweis, den man aber sehr wohl als deutlichen Wink verstehen darf sehr sorgfältig mit diesen Daten umzugehen. Außerdem ist damit auch schon klargestellt, dass für Fragen der Grundrechte im Zusammenhang mit der Vorratsdatenspeicherung auf europäischer Ebene der EGMR zuständig ist.

Letztlich spielt die Frage, wer zuständig gewesen wäre, auch keine große Rolle, weil die Richtlinie ohnedies auf dem demokratischeren Weg zustande gekommen ist, nämlich durch das Parlament und nicht durch den Rat. Das Parlament hat sich auch lange gegen diese "Spitzelrichtlinie" (siehe) gesträubt. Auf der anderen Seite hätte ein Beschluss des Rates Einstimmigkeit erfordert und die wäre zumindest fraglich gewesen; das Parlament hätte nur ein Anhörungsrecht gehabt. Außerdem ist mittlerweile Zeit vergangen und viele haben gehofft, dass, wenn der EuGH die Richtlinie aufhebt, keine neue Norm mehr zustande kommt, weil mittlerweile die Diskussion weiter fortgeschritten ist und sich die Gegner formiert haben. Auch der zeitliche Abstand zu den damaligen Terrorereignissen (London und Madrid) hätte zu einem kühleren Kopf und damit sorgsameren Umgang mit den Grundrechten führen können. Allerdings gibt es nach wie vor einflussreiche Kreise, denen an der Speicherung dieser Daten sehr gelegen ist. Ich tippe darauf, dass das nicht nur die Innenminister sind, die diese Daten für Zwecke der Strafverfolgung haben wollen, sondern vor allem die Urheberrechtsindustrie, die damit Tauschbörsenuser jagen will. Und diese Jagd ist in der Vergangenheit immer häufiger am Vorhandensein der Daten gescheitert. Man muss nur die Anzahl der Fälle von Tauschbörsenverfahren der der Terrorverfahren in Österreich gegenüberstellen, um die Interessenlage erahnen zu können.

Die Speicherung der Daten ist das eine, der Zugriff auf diese Daten das andere. Dazwischen liegt die hoffentlich sorgsame Verwahrung der Daten. Die Speicherpflicht ist nun wohl auch in Österreich nicht mehr zu verhindern. Sehr wohl aber hat es Österreich alleine in der Hand, den Zugriff auf diese Daten restriktiv zu gestalten. Und da besteht auch dringender Handlungsbedarf. Derzeit liegt nämlich der Schutz dieser Daten bei Null. Gerade im Internetbereich - hier geht es vor allem um die Zuordnung einer Person zu einer IP-Adresse, die eindeutig unter die Vorratsdaten fällt (Art 5) -  müssen diese Daten nämlich derzeit in jedem Verfahren ohne Strafuntergrenze herausgegeben werden (OGH 11 Os 57/05z). Das ist zwar strittig, weil man sich (offenbar in ganz Europa) nicht einig ist, ob es sich dabei um Stammdaten oder Verkehrsdaten oder sonst etwas handelt, die Praxis geht aber von einer Herausgabeverpflichtung aus. Bei den Tauschbörsenusern sieht die Gesetzeslage sogar einen zivilrechtlichen Auskunftsanspruch ohne Einschaltung irgendeines Gerichtes vor. Diese Gesetzesbestimmung ist zwar nach einer OGH-Entscheidung (4 Ob 141/07z) Gegenstand eines Vorabentscheidungsverfahrens beim EuGH, sollte die gesetzliche Bestimmung aber als mit den europäischen Normen im Einklang befunden werden, würde dies bedeuten, dass jedermann Zugriff auf diese Vorratsdaten bekommt. Er muss nur gegenüber dem Zugangsprovider behaupten, dass der Inhaber einer bestimmten IP-Adresse irgendwelche Urheberrechte verletzt hat, und mit dem Rechtsanwalt drohen. Welcher Provider wird dann einen teuren Prozess riskieren?

Sollte daher durch eine TKG-Novelle demnächst die Speicherpflicht umgesetzt werden, müssten gleichzeitig die Strafprozessordnung (StPO), das Urheberrechtsgesetz (UrhG) und vor allem auch das Sicherheitspolizeigesetz (SPG) angepasst werden, sonst entsteht ein riesiges Datenleck. Diese Löcher im Datenkübel bestehen schon jetzt, aber dann wird er erst so richtig aufgefüllt und damit potenziert sich die Missbrauchsgefahr.

Bei dieser Gelegenheit muss auch darauf hingewiesen werden, dass die Datenspeicherung kein völliges Novum ist. Ein großer Teil dieser Daten wurde bereits bisher unter dem Vorwand der Abrechnungskontrolle gespeichert (der Kübel ist schon derzeit ziemlich voll). Die heiklen Personendaten, wie die Zuordnung der IP-Adresse zu einer Person, wären zwar für die Abrechnung großteils nicht notwendig gewesen, aber offenbar war für die Provider das komplette Speichern billiger als ein selektives Löschen (ein häufiges Problem bei digitalen Daten). Und die Gefahr, dass sich jemand beschwert, war relativ gering. Zwar hat die Datenschutzkommission (DSK) bereits im Jahr 2006 in einem solchen Fall eine Empfehlung abgegeben (K213.000/0005-DSK/2006), "man möge dafür Sorge treffen, dass in Hinkunft dynamische IP-Adressen nach Abschluss der technischen und organisatorischen Abwicklung der Verbindung ohne Zustimmung des Benutzers nicht mehr gespeichert werden", tatsächlich haben große Provider genau diese Daten aber noch im Jahr 2008 an Urheberrechtsberechtigte herausgegeben, und zwar sogar ohne Gerichtsbeschluss (ORF-Artikel vom 16.10.2008). Nach einer Studie (Gerhard Kunnert, Jurist im Verfassungsdienst des BKA, Datenschutzrecht und E-Government Jahrbuch 2008) sollen von 1999 bis Ende 2007 österreichische Sicherheitsbehörden heimische Telekommunikationsunternehmen illegaler Weise dazu gedrängt haben in tausenden Fällen Nutzerdaten von IP-Adressen herauszugeben. So gesehen müsste man fast noch dankbar sein für die gesetzliche Regelung der Vorratsdatenspeicherung, sofern - und hier beginnt der Gestaltungsraum des österreichischen Parlaments - die Vorgaben der Richtlinie betreffend die Herausgabe der Daten auch entsprechend umgesetzt werden, d.h. die Delikte, bei denen eine Herausgabe zulässig ist, denen entsprechen, für die die Vorratsdatenspeicherung eingeführt wurde. Die große Gefahr besteht darin, dass husch-pfusch die Speicherpflicht eingeführt wird und an den bestehenden Herausgabebestimmungen nichts geändert wird.

Vielfach wird in der Diskussion in Österreich und Deutschland so getan, als gäbe es im Internet einerseits Daten, die nur so (bzw. sowieso) gespeichert werden und deswegen nur einfachen Schutz genießen, und andererseits Daten, die im Rahmen der Vorratsdatenspeicherung gespeichert werden und denen deswegen der besondere Schutz als Vorratsdaten zukommt. Tatsächlich handelt es sich aber um ein und dieselben Daten. Der Provider würde damit zum Zeitpunkt der Speicherung über die rechtliche Qualität dieser Daten entscheiden und damit auch über die Voraussetzungen der Herausgabe. Es wird interessant, wie der österreichische Gesetzgeber damit umgehen wird. Im Hinblick auf die Rechtssicherheit wäre eine eindeutige Regelung wünschenswert. Seriöserweise müssen sich die Voraussetzungen für die Herausgabe der Daten an der Sensibilität dieser Daten orientieren und nicht am Grund der Speicherung. Mit anderen Worten: Es muss die Verhältnismäßigkeit nach der Judikatur des EGMR sichergestellt werden, auf die bereits die Richtlinie verweist (Art 4).

Man kann nur hoffen, dass der angekündigte Gesetzesentwurf besser wird als der erste Regelungsversuch, der Entwurf für eine TKG-Novelle 2007 (Gegenüberstellung). In § 102a dieses Entwurfes wurde für die Speicherung (!) ein Zweck festgelegt, nämlich Ermittlung, Feststellung und Verfolgung von mit beträchtlicher Strafe bedrohten Handlungen (§ 17 SPG), einschließlich der Tatbestände der §§ 107 und 107a StGB, wohl wissend, dass zum Zeitpunkt der Speicherung noch nicht einmal absehbar ist, ob diese Daten je benötigt werden und wofür, und die Angabe eines Zweckes völlig sinnlos ist, wenn die Daten sowieso gespeichert werden müssen. Zudem sind die Voraussetzungen für die Herausgabe dieser Daten nach der StPO und nach dem UrhG ganz andere, nämlich viel geringere. In einfache Sprache übersetzt hätte das geheißen: Diese Daten dürfen ohnedies nur für die Verfolgung schwerer Verbrechen gespeichert werden, aber, wenn wir sie schon haben, verwenden wir sie natürlich immer.

Eine Regelung, die der großen Bedeutung dieser Maßnahme gerecht wird, muss auch Art 4 der RL berücksichtigen, den Grundrechtsschutz in den Vordergrund stellen und den diversen Begehrlichkeiten einen Riegel vorschieben. Sonst müssen wir wirklich auf den EGMR hoffen, und das kann dauern! Die Regierung hat die Umsetzungsfrist 15.9.2007 (für Telefoniedaten) verstreichen lassen und sollte deswegen nicht wegen der bevorstehenden Umsetzungsfrist 15.3.2009 (Internetdaten) in Hektik verfallen, sondern die Möglichkeiten, die Österreich jetzt noch hat, behutsam ausloten. Die Speicherpflicht sollte erst beschlossen werden, wenn die weitere Verwendung der Daten abschließend geregelt ist. Österreich steht, was den Verzug mit der Umsetzung betrifft, nicht alleine da; es hat die Chance eine für andere EU-Länder beispielhafte Regelung zu schaffen.

Weiterführende Informationen:

10.2.2009

Franz Schmidbauer

zum Seitenanfang

zur Übersicht Aktuelles